拓海先生、最近、制御系のネットワークの話が社内で出てきまして、部下に「異常検知を入れた方がいい」と言われたのですが、そもそも何をどう見ればいいのか見当がつかなくてして。
素晴らしい着眼点ですね!大丈夫、一緒に整理しましょう。産業用制御システムの通信は周期的で、それをモデル化すると異常がわかりやすくなるんですよ。
周期的、ですか。それならうちのラインでも同じ動きが繰り返されるはずで、異常はすぐ分かりそうに聞こえますが、実際は難しいのですか。
いい質問です。周期的でも、複数の処理が同時並行で走ると信号が入り混じります。これを多重化(multiplexing)と呼び、単純に一つのルールで見ると誤報が増えるんです。
要するに、複数の作業が同時に走っていると一つの基準では見落とすか、逆に誤って検知する、ということですか?
そのとおりです。そこで本論文は、複数の周期パターンそれぞれを個別にモデル化し、入力を振り分ける仕組みを提案しています。これにより誤報が減り、モデルも小さくできるのです。
ほう、入力を振り分けるとは具体的にどうするのですか。機械が自動で判断するんでしょうか、それとも事前に設定が必要ですか。
良い質問ですね。論文の肝は自動化です。通信の中の記号の並びと時間関係から、それぞれの周期パターンを分離し、各パターンに対応する小さな状態機械を自動生成する手法を示しています。
それはつまり、複数の小さなルールを並べて運用するイメージで、誤検知が減って運用負荷も下がると。これって要するに、ルールを分割して当てはめるということ?
正確です。分割して、それぞれに専用の『状態機械(Statechart)』を持たせるのです。要点を3つにまとめると、1) 自動で振り分ける、2) 小さなモデルで表現する、3) 実時間で効率的に動かせる、です。
導入費用や効果はどう見積もればいいでしょうか。現場で動かせるかが不安ですし、誤報が多ければ結局は人手が増えます。
投資対効果の観点では、まずはログ取得の整備と試験導入で効果を測るのが現実的です。運用負荷を下げられるのは、誤報率が下がる点であり、論文の結果では大幅な改善が示されています。
現場は古い機械が混在しているので、対応が難しいものもあります。結局のところ、導入の第一歩は何から始めればいいですか。
大丈夫です。一緒にやれば必ずできますよ。まずは通信ログを一定期間収集し、試験的にStatechartモデルを構築して誤報率を測る。次に現場要件に合わせて適応させる。これが現実的な手順です。
分かりました。では、まずログを集めて、試験で効果を確認する。要するに、小さく始めて効果を見てから拡大する、という理解でよろしいですね。ありがとうございます、拓海先生。
